Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Vermeintlicher MBR RootKit (F-Secure) (https://www.trojaner-board.de/70385-vermeintlicher-mbr-rootkit-f-secure.html)

HellScreAm 24.02.2009 22:46
Vermeintlicher MBR RootKit (F-Secure)
 
Hallo,
ich poste in der Hoffnung auf eine 2. Meinung oder eine Lösung des Problems, also ich fange am besten mal ganz genau an zu beschreiben.
Sicher kennt jeder hier das anti-rootkit tool von F-Secure namens Blacklight, wenn ich eben dieses tool starte, dann meldet meine ComodoFW, dass dies ein ungewöhnlicher Alarm sei und ich ihn gegebenenfalls erstmal blocken sollte ... gesagt getan ----> http://playpic.net/viewer.php?file=r...h0gxyd59ra.jpg

So wenn ich also die Aktion blockiere, meldet F-Secure folgendes nach einem Scan ----> http://playpic.net/viewer.php?file=k...okavsrnmih.jpg

Das gefundene "Hidden File" soll dann angeblich der MasterBootRecord sein.

Derartiges hatte ich vorher noch nie, die Suche und Google konnten mir auch leider nicht helfen. Ich hatte dies bereits vor einer Woche schonmal und habe daraufhin mein Windows neu aufgesetzt, deshalb bin ich umso verwirrter.

Mit den tools von GMER (RootkitBuster und mbr) habe ich ebenfalls gescannt, beide tools sagen es sei alles okay mit dem MBR (also steht die Aussage quasi 2:1 für einen false positive).

HJT etc. melden auch nichts. Als OS kommt bei mir Win XP mit SP3 + aktuelle Updates zum Einsatz, als Viren/SpywareScanner habe ich AntiVir und Spyware Doctor laufen, als FireWall verwende ich die ComodoFireWall Pro.

PS: Den mbr über Windows Wiederherstellungskonsole zu sichern habe ich letztes mal schon probiert, aber wie gesagt beim letzten Mal kann es auch ein false positive gewesen sein .... bin mit meinem Latein echt am Ende.

Danke im Voraus für eure Hilfe. Mfg

Kaos 25.02.2009 06:36
Der Eintrag, den du mit der ComodoFW geblockt hast, ist von F-Secure Blacklight.

Lass Gmer nochmal laufen und poste das Ergebnis hier.

Lade dir auch Catchme von Gmer.net (Ergebnis nur posten, wenn er hidden files findet).

Andere Frage.... Warum hast du deinen Rechner überhaupt mit Blacklight gescant? Gab es einen Grund dafür oder war dir einfach nur langweilig ; )

HellScreAm 25.02.2009 14:30
Hi,
naja zur Kontrolle, Ich lasse so einmal pro Monat jeden Scanner den ich so hab' drüber laufen, um einer Infektion vorzubeugen.

So hier der Log vom GMER MBR tool:

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK


RootKitBuster Log:

+----------------------------------------------------
| Trend Micro RootkitBuster
| Module version: 2.2.0.1014
+----------------------------------------------------


--== Dump Hidden MBR and Hidden File on C:\ ==--
No hidden files found.

--== Dump Hidden Registry Value on HKLM ==--
No hidden registry entries found.


--== Dump Hidden Process ==--
No hidden processes found.

--== Dump Hidden Driver ==--
No hidden drivers found.

So und zu guter Letzt CatchMe Log:

catchme 0.2 W2K/XP/Vista - userland rootkit detector by Gmer, 17 October 2006
http://www.gmer.net

detected NTDLL code modification:
ZwClose, ZwOpenFile

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

(Hab ihn trotzdem mal gepostet, um absolut sicher zu gehen.)

Wie gesagt Blacklight zeigt das mit dem MBR NUR an, wenn ich die Aktivität von services.exe blocke, wenn ich den Zugriff zulasse, dann ist alles sauber.

PS: Services.exe habe ich auch bei Jotti und VirusTotal scannen lassen, war beide Male sauber, aber ich habe gestern versucht auf den Key von Blacklight zuzugreifen (fsbl standalone usw.) das war allerdings nicht möglich (ist das auch normal =?).

Hoffe auf eine "gute" Antwort.
Und danke für die schnelle Antwort^^ auf den 1. Post. Grüße

Jig Saw 25.02.2009 14:34
der MBR ist sauber, aber wenn du unbedingt nach Rootkits scannen willst kannst du das auch noch machen:


Avira AntiRootkit Tool
  • Downloade Avira AntiRootkit Tool von >>hier<< oder >>hier<< und speichere es auf dem Desktop
  • Entpacke und installiere es
  • Start => Avira RootKit Detection
  • Versichere, dich dass alle Kästchen einen Hacken haben außer "Fast Scan"
  • Schließe nun alle Programme auch dein AV-Prog und trenne dich physikalisch von der Internet Verbindung
  • Falls Rootkits gefunden wurden klicke auf "Quarantine all" danach 2 mal "OK"
  • Klicke auf View report und kopiere den gesamten Text und speichere den gesamten Text als eine Textdatei
  • Boote den PC neu und danach noch einmal einen Scan durchführen
  • den report jetzt posten



Blacklight scannen lassen
  • Lade F-Secure Blacklight runter in einen eigenen Ordner, z.B. C:\programme\blacklight. Sollte der Download nicht klappen, dann probiere es mit diesem Link.
  • Starte in diesem Ordner blbeta.exe. Alle anderen Programme schließen.
  • Klick "I accept the agreement", "next", "Scan".
  • Wenn der Scan fertig ist beende Blacklight mit "Close".
  • Im Verzeichnis von Blacklight findest Du das erstellte Log fsbl-XXX.log, anstelle der XXX steht eine längere Folge von Ziffern.


Gmer


http://www.chip.de/ii/183398422_fb183cfed7.gif

  • Donwloade Gmer
  • Entpacke es auf dem Desktop
  • Trenne dich physikalisch vom Internet (Lan Kabel ziehen)
  • Schließe bitte alle Anwendungen, auch das Antivirusprogramm
  • Starte den Scan mit Gmer mit "Scan", mache in der Zeit nichts auch keine Mausbewegungen und Tastatureingaben
  • Ist der Scan fertig, klicke auf "Copy" und poste dann hier deine Anwort in dem du den Log reinkopierst
  • Beende Gmer mit "OK"



aber an deiner Stelle würde ich die Comodo Firewall deinstallieren genauso wie Spyware Doctor

HellScreAm 25.02.2009 17:36
Hoi, wow wieder super schnelle Antwort, wunderbar da bin ich ja beruhigt ... ne passt schon mit RootKit Scannen ... habe das System vor 2 Tagen neu aufgesetzt, wegen dem Fehler von Blacklight, im Prinzip umsonst ... aber es ist wenigstens alles wieder clean. Aber wieso sollte ich SpyWareDoctor und die ComodoFW de-installieren °_° ... bin total überzeugt von den Programmen. Aber kannst mir ja gerne Begründen warum. :D

Grüße

Jig Saw 01.03.2009 00:52
Spyware Doctor hat nur eine mäßige Erkennungsrate und kann Malware eher schlecht Entfernen.
Ich bin meist generell gegen PFs (Personal Firewalls), bei Comodo gibt/ gab es oft Probleme, dass das Internet nicht mehr ging. Ich finde die beste Lösung ist die Windows Firewall und brain.exe


Alle Zeitangaben in WEZ +1. Es ist jetzt 04:57 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55